[[164448]]

移動(dòng)手機(jī)應(yīng)用程序（App）生態(tài)系統(tǒng)的一大好處就是它使得我們的生活更加方便和容易，而不好的一面就是這些 App 越流行，它們就越有可能受到黑客的襲擊。當(dāng) App 在我們的生活中扮演的角色越來(lái)越重要的時(shí)候，例如通過(guò)我們的手機(jī)進(jìn)行金融交易，或者上傳我們的健康數(shù)據(jù)等，我們的個(gè)人數(shù)據(jù)就越有可能發(fā)生泄漏。安全攻擊不僅會(huì)影響用戶的個(gè)人信息和敏感數(shù)據(jù)，同時(shí)也會(huì)對(duì)商業(yè)、政府和軍隊(duì)產(chǎn)生巨大威脅。

因此，作為程序的開發(fā)人員，你就有責(zé)任和義務(wù)來(lái)確保你客戶的數(shù)據(jù)的安全，保證它們不會(huì)受到黑客的侵?jǐn)_。而保護(hù)消費(fèi)者私人數(shù)據(jù)安全的一種方法是通過(guò)安全手段來(lái)保證我們的每一次操作的安全。當(dāng)開發(fā)人員在進(jìn)行移動(dòng) App 開發(fā)的時(shí)候，他們需要注意以下這些因素。

1 二元認(rèn)證

[[164449]]

我們使用的密碼很容易被忘記或者被黑客竊取。有時(shí)候，是因?yàn)槊艽a太過(guò)簡(jiǎn)單，從而使得很多人都可以經(jīng)過(guò)幾次嘗試以后猜到密碼。對(duì)于那些存儲(chǔ)有大量私人信息的 App，一旦被黑客知道，這也就意味著巨大的損失。二元密碼認(rèn)證則可以幫助解決這個(gè)問(wèn)題。其最常見的形式就是當(dāng)你在登陸一款 App 的時(shí)候，你可以通過(guò)事先預(yù)留的郵箱或者手機(jī)來(lái)獲得包含隨機(jī)密碼的郵件或者信息。只有當(dāng)你輸入這串密碼的時(shí)候，你才可以登陸你的 App。那些儲(chǔ)存有你敏感信息的 App 應(yīng)該在你不使用的時(shí)候登出，當(dāng)你再次使用的時(shí)候需要再次登陸，這樣就會(huì)來(lái)到我們將要討論的下一個(gè)問(wèn)題。

2 用 Oauth2 來(lái)構(gòu)建 Mobile API 安全系統(tǒng)

[[164450]]

也許你已經(jīng)聽過(guò) OAuth，這是一種用于不可信設(shè)備的用于確保 API 服務(wù)的原型，它提供令牌驗(yàn)證的方式來(lái)對(duì)移動(dòng)用戶進(jìn)行授權(quán)。OAuth2 采用的這種授權(quán)方式是，它限定了授權(quán)令牌的使用時(shí)間。當(dāng)用戶登錄移動(dòng)設(shè)備的時(shí)候，用戶會(huì)輸入登錄賬號(hào)和密碼，這時(shí)就會(huì)為用戶創(chuàng)造訪問(wèn)令牌，并且在移動(dòng)設(shè)備進(jìn)行儲(chǔ)存。一旦訪問(wèn)令牌過(guò)期，使用者就需要再次登錄才能繼續(xù)使用。OAuth2 并不需要使用者在一個(gè)并不安全的環(huán)境下儲(chǔ)存 API 密匙。相反，它可以產(chǎn)生一個(gè)訪問(wèn)令牌，這個(gè)令牌可以暫時(shí)儲(chǔ)存在非信任的環(huán)境中。這種機(jī)制運(yùn)行得非常好，這是因?yàn)榧幢愫诳瞳@得了使用者的訪問(wèn)令牌，它也會(huì)很快過(guò)時(shí)。

3 安全套接層 SSL(Secure Sockets Layer)

[[164451]]

OActive Labs 研究人員 Ariel Sanchez 測(cè)試了 60 家全球影響力最大的銀行中的 40 種移動(dòng)銀行 App，其研究結(jié)果是：40% 經(jīng)過(guò)審計(jì)的 App 并沒(méi)有驗(yàn)證 SSL 證書的真實(shí)性。而很多的 App（大約 90%）在整個(gè)應(yīng)用中包含了一些非 SSL 鏈接。在這種情況下，攻擊者可以攔截流量，并通過(guò)創(chuàng)見創(chuàng)建任意的 JavaScript/ HTML 代碼來(lái)制造一個(gè)假的登錄提示，從而造成使用者信息泄露。通常情況下移動(dòng) App 不能有效地執(zhí)行 SSL 驗(yàn)證，從而使得使用者很容易受到這方面的攻擊。使用 SSL/TLS 來(lái)進(jìn)行遠(yuǎn)程交流的 App 需要檢查其服務(wù)證書。

4 加密

[[164452]]

AES，即高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard），是目前用于對(duì)稱密鑰加密的最流行的算法之一。同時(shí)它也是一種「黃金標(biāo)準(zhǔn)」加密技術(shù)；很多具有安全意識(shí)的企業(yè)則會(huì)要求他們的雇員使用 AES-256 (256 - 比特 AES) 來(lái)進(jìn)行通訊交流。事實(shí)上，公司應(yīng)該使用那些經(jīng)過(guò)安全組織調(diào)整的現(xiàn)代算法，例如具有采用 256 比特的 AES 進(jìn)行加密。

當(dāng)你在設(shè)計(jì) App 的時(shí)候，如果你可以確保使用者的數(shù)據(jù)安全，那么你的 App 就會(huì)更加吸引用戶，并且?guī)椭憬⒘己玫陌踩蛩?。而這也會(huì)幫助你獲得和留住更多的用戶。

為了和這些安全攻擊進(jìn)行斗爭(zhēng)，世界對(duì)于網(wǎng)絡(luò)安全公司的關(guān)注也越來(lái)越多，而緊跟著的就是一些巨額投資。由此每年也產(chǎn)生了成千上萬(wàn)的工作崗位。為了支持這些產(chǎn)業(yè)的發(fā)展，全世界也發(fā)展出了一些網(wǎng)絡(luò)安全生態(tài)系統(tǒng)，將公司、風(fēng)險(xiǎn)投資、人才和專業(yè)技術(shù)集中在一小塊區(qū)域內(nèi)。接下來(lái)要介紹的就是網(wǎng)絡(luò)安全領(lǐng)域的一些頂級(jí)中心。

1 硅谷（Silicon Valley）

[[164453]]

硅谷是絕大多數(shù)領(lǐng)先的網(wǎng)絡(luò)安全公司的大本營(yíng)。該地區(qū)很大一部分的風(fēng)險(xiǎn)投資都投入到了防病毒、防欺騙和反黑客軟件領(lǐng)域。數(shù)據(jù)保護(hù)也是一個(gè)日益增長(zhǎng)的方面，且這些威脅不緊來(lái)自外部黑客的攻擊，也會(huì)來(lái)自內(nèi)部。例如，根據(jù) McAfee 的創(chuàng)始人 John McAfee，最近阿什利麥迪遜數(shù)據(jù)泄露就是由該網(wǎng)站的一名女性雇員造成的。

預(yù)防內(nèi)部人員造成數(shù)據(jù)泄露也是硅谷公司正在努力的一個(gè)方向。硅谷整體的權(quán)威和高科技產(chǎn)業(yè)的主導(dǎo)地位使得其成為了網(wǎng)絡(luò)安全初創(chuàng)公司的不二之選。公司、軍隊(duì)和政府都轉(zhuǎn)向該區(qū)域?qū)で缶W(wǎng)絡(luò)安全保護(hù)，以免遭黑客和恐怖主義的襲擊。在今年 4 月，美國(guó)國(guó)防部宣布和硅谷公司展開合作，以保護(hù)數(shù)據(jù)的安全。一些公司，例如 Cylance、Ionic Security 和 Symantec 的總部都設(shè)在硅谷。硅谷的初創(chuàng)公司還在繼續(xù)成立、創(chuàng)新、合并和變革，毫無(wú)疑問(wèn)，這里的很多公司都將網(wǎng)絡(luò)安全視為巨大的機(jī)遇。

2 以色列（Israel）

[[164454]]

以色列初創(chuàng)公司的蓬勃發(fā)展、嚴(yán)重的安全威脅和軍事情報(bào)單位大量的人才流動(dòng)使得這個(gè)國(guó)家成為了全球網(wǎng)絡(luò)安全領(lǐng)域的超級(jí)大國(guó)。在過(guò)去的數(shù)年間，網(wǎng)絡(luò)安全的協(xié)同作用在初創(chuàng)公司、跨國(guó)科技巨頭、學(xué)術(shù)界、軍事和政府之間建立起來(lái)?！笇⒁陨写蛟斐梢晃话踩I(lǐng)域內(nèi)的領(lǐng)導(dǎo)者是政府的一個(gè)目標(biāo)，而國(guó)家總理也對(duì)此非常重視。以色列很有可能成為世界兩大網(wǎng)絡(luò)安全中心中的一個(gè)，對(duì)此我非常樂(lè)觀?！筃adav Zafrir 說(shuō)。Nadav Zafrir 是 team8（位于特拉維夫的一個(gè)非常規(guī)的風(fēng)險(xiǎn)投資公司，主要投資領(lǐng)域?yàn)閯?chuàng)新型網(wǎng)絡(luò)安全公司）的創(chuàng)始人。在這個(gè)國(guó)家中有超過(guò) 200 個(gè)網(wǎng)絡(luò)安全公司，大多數(shù)都集中在特拉維夫和耶路撒冷，每年的網(wǎng)絡(luò)輸出達(dá)到了 30 億美元。其中的領(lǐng)導(dǎo)者包括 Check Point、CyberArk、Imperva 等。

3 紐約市（New York City）

[[164455]]

紐約市的金融區(qū)和企業(yè)財(cái)富創(chuàng)造了對(duì)于網(wǎng)絡(luò)安全的巨大需求。為了解決這些問(wèn)題，安全公司紛紛建立起來(lái)。許多公司都致力于保護(hù)股票市場(chǎng)，防止銀行和金融欺騙。該市有大量的資本進(jìn)入到了網(wǎng)絡(luò)安全領(lǐng)域，但是其獨(dú)特的位置增加了該區(qū)域的網(wǎng)絡(luò)安全活動(dòng)。頂級(jí)的初創(chuàng)公司包括身份驗(yàn)證公司 Socure，事件解決方案供應(yīng)商 UpLevel 和數(shù)據(jù)泄露預(yù)防公司 Third Party Trust。

4 波士頓（Boston）

[[164456]]

波士頓是 MIT 和哈佛的所在地。這里的天才已經(jīng)創(chuàng)造了很多數(shù)學(xué)天才、科技專家和工程師，同時(shí)也成為了一個(gè)網(wǎng)絡(luò)安全中心。這里的一些頂級(jí)公司包括主要軍工承包商 Raytheon、安全密碼解決方案提供商 SQRL 和安全分析初創(chuàng)公司 Rapid7，并且這些公司也持續(xù)募捐數(shù)百萬(wàn)美元成立基金。該地區(qū)的很多新公司也獲得了成功。BitSight 科技宣布在 6 月份獲得了 2300 萬(wàn)美元的融資，而 Barkly 獲得了 1250 萬(wàn)美元的資金。

5 倫敦（London）

[[164457]]

CyLon，或者倫敦網(wǎng)絡(luò)是歐洲第一個(gè)網(wǎng)絡(luò)安全加速器。該公司致力于幫助商業(yè)開發(fā)信息安全技術(shù)和相關(guān)產(chǎn)品，同時(shí)幫助倫敦的網(wǎng)絡(luò)安全的成長(zhǎng)。CyLon 的成員包括 CyberLytic、Intruder 和 Sphere Secure Workspace。不僅如此，英國(guó)政府也推出了相關(guān)的活動(dòng)和項(xiàng)目來(lái)解決網(wǎng)絡(luò)犯罪，增加相關(guān)領(lǐng)域的知識(shí)和意識(shí)。